Identité numérique : praticité ou collecte généralisée ?

FranceConnect rend les démarches administratives plus rapides et faciles. Une procédure réalisée via une des identités numériques et une autorisation suffisent à ne plus avoir le besoin de se plonger dans les papiers à la recherche d’un identifiant. Une fois les données validées par l’une des identités numériques de FranceConnect – ameli, impôts.gouv, l’Identité Numérique de La Poste – celles-ci sont réutilisées lors de démarches sur d’autres sites. Dans le cas de l’Identité Numérique de La Poste, plus de 900 services publics et privés sont ainsi accessibles avec des démarches simplifiées : assurance maladie, impôts, pôle emploi, Engie, Enedis, BNP Paribas, Boursorama Banque, ING…

« Des risques quant à la fin des démarches sans présenter son identité, et donc sur la fin de l’anonymat »

Guidé par le programme interministériel sur l’identité numérique, le déploiement de services pour prouver une identité en ligne va se renforcer en France avec l’application “service public d’identité numérique ”. Cette application publique donnera la possibilité aux utilisateurs d’importer les données des nouvelles cartes nationales électroniques. Au-delà d’un système d’authentifcation, “Service public d’identité numérique” permettra de fournir un justificatif d’identité, de justifier sa majorité, de donner une procuration, ou d’ouvrir un compte en banque. Son lancement est prévu pour 2022. Les entreprises Atos, Sopra Steria, Idemia, et Idakto sont chargées de développer le système de gestion de l’identité numérique accompagnant le développement de l’application.

Lors de la délivrance d’une carte nationale d’identité électronique, une identité numérique sera également établie. « Une identité pourra remplacer l’autre », explique à Siècle Digital Bastien Le Querrec, membre de l’association de défense et de promotion des droits et liberté sur Internet La Quadrature du Net. Qui pointe : « Ici on relierait systématiquement à l’état civil. Cela présente des risques quant à la fin des démarches sans présenter son identité, et donc sur la fin de l’anonymat, ainsi que sur l’accroissement du contrôle de l’État sur ses populations ».

« Le déploiement des identités numériques est un véritable plan stratégique européen qui s’articule autour du règlement eIDAS et de la carte nationale d’identité numérique », soutient Bastien Le Querrec. La mise en place du cadre européen pour le développement des identités numériques ne peut qu’appuyer son propos.

L’objectif de ce cadre : créer un portefeuille numérique européen qui lierait une identité nationale avec des documents officiels, tels qu’un permis de conduire, certains diplômes, des documents bancaires ou encore des prescriptions médicales. L’Union européenne ambitionne que d’ici octobre 2022, chaque citoyen, résident et entreprise soit relié à un portefeuille d’identité numérique. Côté entreprises, l’identité numérique se compose de données telles que le numéro siret.

Le règlement eIDAS, qui encadre l’identification et les transactions numériques, comme les signatures électroniques, incarne un socle pour le développement des identités numériques. En effet, ces dernières ont avant tout un rôle d’identification. Par ailleurs, le règlement fixe des niveaux de sécurité pour les identités numériques. En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) est chargée d’évaluer les services afin de leur attribuer le niveau de sécurité adéquat.

Une volonté d’indépendance face aux services d’identités numériques des GAFAM

« La Poste investit dans l’identité numérique pour faire une alternative aux propositions des GAFAM », revendique la directrice de l’identité numérique de La Poste, Candice Dauge, en référence aux dernières fonctionnalités de l’Apple Wallet. Aux États-Unis, les utilisateurs d’iPhone pourront bientôt ajouter à leur Apple Wallet leur carte d’identité et leur permis de conduire. Apple vérifiera et certifiera l’identité de l’utilisateur. Ce dernier pourra ainsi utiliser une version dématérialisée de ces documents. Des fonctionnalités très similaires à celles des services d’identité numérique.

Apple ayant son siège social à Cupertino, l’entreprise est soumise aux lois américaines et notamment au Clarifying Lawful Overseas Use of Data Act (CLOUD Act). Ce texte permet aux forces de l’ordre et aux agences de renseignement américaines d’accéder aux données des opérateurs télécoms et des fournisseurs de services cloud. Dans la pratique, le CLOUD Act prévaut sur le règlement général sur la protection des données (RGPD). Ce point, parmi d’autres, pose des questions quant à la confidentialité et la protection des données.

C’est d’ailleurs en partie pourquoi l’attribution de l’hébergement des données du Health Data Hub, base d’open data recueillant des données de santé en France, à Microsoft a suscité des critiques. Ce contrat doit d’ailleurs passer à un prestataire européen. C’est donc face à ces enjeux que la directrice de l’Identité Numérique de La Poste souhaite marquer une différence concurrentielle.

La lucrativité de l’Identité Numérique de La Poste ne repose pas sur un traitement de données

« L’identité numérique n’est pas une technologie de collecte et de traitement de données », déclare Candice Dauge. Le service se positionne comme un intermédiaire de confiance qui transfère des données déjà vérifiées avec le consentement de l’utilisateur. Les seules données conservées par La Poste sont celles de l’état civil, comme le nom, prénom, date et lieu de naissance, et celles de contact, soit le mail et le numéro de téléphone. Ces données sont transférées via FranceConnect et ne font ni l’objet d’un traitement ni d’une commercialisation. « L’identité numérique n’est pas une base de données commerciale », souligne Candice Dauge. Si Apple met un point d’honneur à combattre le tracking, l’entreprise utilise à ses fins les données de ses utilisateurs.

Néanmoins, cela ne signifie pas pour autant que l’Identité Numérique de La Poste n’a pas de but commercial. Les sites s’appuyant sur son authentification paient pour présenter le bouton de connexion. L’identité numérique de La Poste reste ainsi entièrement gratuite pour l’utilisateur et est payée par l’entreprise voulant proposer une connexion via celle-ci. La directrice de L’Identité Numérique de La Poste garantit la protection des données par ce modèle économique.

Pour les entreprises, l’avantage de proposer une connexion via une identité numérique réside principalement dans la réduction du temps des procédures administratives. Ce gain de temps est permis grâce à l’automatisation de la collecte de données et de documents. Un atout particulièrement intéressant pour le secteur bancaire qui doit minutieusement contrôler l’identité de ses souscripteurs. Avec une identité numérique, l’ouverture d’un compte devient quasi instantanée. « Il est évident que les banques ont un intérêt à promouvoir une identité numérique », estime le membre de La Quadrature du Net.

Alicem et le recours systématique à la reconnaissance faciale

Toutes les identités numériques ne permettent pas d’ouvrir un compte en banque. Pour y être autorisé, le service doit répondre à l’un des deux niveaux de sécurité les plus élevés du règlement européen eIDAS. Ces niveaux classent les risques d’usurpation de l’identité numérique selon trois seuils : faible, substantiel et élevé.

En France, seule l’Identité Numérique de La Poste est considérée de niveau substantiel et aucune n’a le niveau élevé. L’identité numérique Alicem visait ce plus haut niveau de sécurité, notamment grâce à l’utilisation systématique de la reconnaissance faciale. Mais c’était sans compter le recours de la Quadrature du Net déposé en juillet 2019 suite au décret du Conseil d’État autorisant l’application Alicem.

Le recours de la Quadrature du Net allait dans le même sens qu’un avis de la CNIL, publié plusieurs mois plus tôt, en octobre 2018. Les deux organismes pointaient qu’une authentification uniquement basée sur des données biométriques ne permettait pas le consentement libre et explicite de l’utilisateur. Une pratique contraire au RGPD qui indique que « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ».

En novembre 2020, dans un nouveau rapport, le conseil d’État valide finalement l’application Alicem. Discrète depuis cette affaire, l’application n’a reçu aucune certification de la part de l’ANSSI. Néanmoins, son système de reconnaissance faciale devrait être utilisé comme moyen d’authentification pour le futur système de gestion de l’identité numérique. Une défaite pour la Quadrature du Net qui a néanmoins gagné une bataille. Le conseil d’État a reconnu que l’accès à un service public ne peut pas reposer uniquement sur des données biométriques. Par conséquent, une alternative de connexion doit être proposée à la reconnaissance faciale. Par ailleurs, depuis le recours, l’ANSSI ne certifie plus le niveau “élevé” sur la base d’un recours à la reconnaissance faciale.

Bastien Le Querrec explique que cette décision figure comme jurisprudence et s’impose donc aux autres fournisseurs d’identité numérique. « Le service de La Poste ne pourra jamais s’appuyer uniquement sur un traitement reposant sur des données biométriques », soutient-il. Ce qui s’avère véridique. La Poste propose trois parcours pour vérifier une identité numérique lors de sa création : en bureau de Poste, auprès de son facteur ou en ligne avec une authentification par « comparaison faciale », selon le terme de la directrice de l’identité numérique de La Poste.

« Nous allons dans le sens d’un recours accéléré à la reconnaissance faciale »

« La Covid a accéléré l’impératif de pouvoir créer une identité numérique à distance », déclare Candice Dauge… qui néanmoins date à avant la crise sanitaire le lancement du projet. Quoi qu’il en soit, le 27 mai 2020, une dizaine de jours après la fin du premier confinement, l’Identité Numérique de La Poste a lancé la création de compte entièrement dématérialisée. Pour ce faire, la reconnaissance faciale est utilisée. Pour ce service, La Poste a fait appel à l’entreprise AR 24, une entreprise de Docaposte, la filiale numérique de La Poste. « Nous ne conservons pas de données biométriques, elles sont immédiatement détruites. Nous conservons uniquement les métadonnées de la connexion et celles liées à l’opérateur de La Poste », précise Candice Dauge.

L’entreprise chargée de l’authentification par reconnaissance faciale de l’identité numérique de La Poste, AR 24, a réalisé une analyse d’impact relative à la protection des données. Cette analyse participe à garantir la protection des données en se penchant sur leur sécurité, le choix des données collectées ou encore de la possibilité pour l’utilisateur de les récupérer. Néanmoins, ni l’analyse ni un résumé n’ont été rendus publics. Il est commun qu’a minima un résumé soit proposé.

« Nous allons dans le sens d’un recours accéléré à la reconnaissance faciale et le Covid a donné un coup d’accélérateur », estime l’avocat spécialisé dans la gestion des données Jérôme Deroulez. L’avocat appuie cette déclaration avec le décret du 10 mars 2021 autorisant l’usage de la « vidéo intelligente » pour établir des statistiques sur le port du masque dans les transports de la RATP. « À mon sens, nous n’avons pas encore eu de débat sur la reconnaissance faciale en France. Et quand on voit ce qui se passe en Chine, ça fait réfléchir », soulève Jérôme Deroulez en référence au crédit social chinois. Ce manque de débat public peut également être pointé dans le cadre de l’identité numérique.

« Un risque sur l’évolution de l’usage dans le temps »

« Si toutes les données sont regroupées en une base, on ne pourra pas certifier à 100% qu’il n’y a aucun risque de dérives quant à la vie privée », estime Olivier Ertzscheid, chercheur en sciences de l’information et de la communication et auteur du livre Identité numérique et e-réputation. « L’histoire montre que parfois il y a des entreprises qui ont accès à des données alors qu’elles ne le devraient pas », rappelle-t-il.

L’avocat Jérôme Deroulez soulève également des risques liés à « d’éventuels croisements de bases de données ». En effet, en reliant de nombreux sites via un identifiant unique, il est techniquement possible de rassembler les données associées à un compte. Si les bases de données étaient stockées sur excel, cela se ferait simplement avec la fonction « rechercheV ». « Le risque dans le temps c’est l’évolution de l’usage de ces technologies d’Identité numérique », soulève à Siècle Digital l’avocate spécialisée sur la protection des données personnelles Viviane Gelles.

« Ces questions autour de l’identité numérique vont bien au-delà de La Poste »

Cette notion d’évolution de l’usage est développée dans la BD reportage Dans l’ombre de la peur, le big data et nous de Michael Keller et Josh Neufeld avec la théorie du dévoilement. « Une fois qu’un certain nombre de personnes ont dévoilé leurs données personnelles alors le fait de ne pas dévoiler les siennes devient stigmatisant », écrivent les auteurs. Une des idées derrière cette théorie est que l’usage d’une technologie suffit à la démocratiser à grande échelle. Mais aussi qu’une fois un comportement adopté, par exemple le partage de données personnelles, un nouveau arrive, comme l’utilisation de données biométriques.

« Bien qu’en pratique, tout soit fait pour inciter les personnes à utiliser les identités numériques, il n’y a aucune contrainte légale à le faire. Ce qui serait dangereux c’est si l’usage des identités numériques devient obligatoire », estime Bastien Le Querrec. Comme exemple d’incitation, le membre de La Quadrature du Net évoque le téléchargement de l’attestation de vaccination contre le covid-19 qui passe obligatoirement par l’identité numérique Ameli. Il cite également le cas de la plateforme de pétition du sénat qui propose uniquement une identification fournie par FranceConnect. « Ces questions autour de l’identité numérique vont bien au-delà de La Poste, elles gravitent autour de l’architecture même de FranceConnect », conclut Bastien Le Querrec.